病院あるある(5) – オンプレミスは安全?クラウドは強固?

「院内に置いているから安心(オンプレミスは安全)」「クラウドは機能が豊富でセキュリティが強固だから安心」。
システムの検討では、こうした「分かりやすい説明」が語られがちです。確かに、オンプレミスには「自分たちの管理下にある」という安心感があり、クラウドには「堅牢な基盤を使える」という魅力があります。
しかし、「置き場所」だけで安全が決まるわけではありません。
オンプレミスにもクラウドにも落とし穴があり、思い込みのまま選ぶと、事故や運用破綻につながります。
「オンプレミスは安全」「クラウドは強固」といった両極の思い込みをいったんほどき、医療システムは止められないという前提のもと、優劣を決めるのではなく、設計と運用で満たすべき必要条件と判断材料を整理します。

「院内にある=安全」は本当か?

安全性を決めるのは置き場所ではなく、更新・監視・バックアップを含む運用です。オンプレミスで特に問題になりやすい論点は次のとおりです。

  • パッチ適用:医療システムにおいて、セキュリティパッチ適用は保守のための停止を許容しない考えのままでは状況は変わりません。止められない前提のまま先送りが続くと、脆弱性を抱えた状態が長期化しやすくなります。
  • 管理者アカウント:共通パスワードの管理者IDが使用されていたり、失敗回数によるロックアウトが未設定だったりすると、侵入後に短時間で環境全体が制圧されてしまいます。
  • ハード故障:保守切れ・部材不足・手順の属人化などが、そのまま復旧時間に影響します。
  • 災害・設備トラブル:停電、空調停止、漏水など「院内設備」の影響を受けやすくなります。
  • バックアップ:「取っている=戻せる」ではなく、運用次第で復旧できないことがあります。オンプレミスでは世代を多めに保存するための容量算定が難しく、安全を見て次期リプレースまでの想定容量を確保していても、結果として「容量の範囲内で最小限の世代管理」になりがちです。また、同一ネットワーク内にあるバックアップは、ランサムウェア等でバックアップまで影響を受けるリスクもあります。

要するに、オンプレミスは「院内にある安心感」がある一方で、止められない運用のまま対策が回らず、弱点が残りやすい点が課題になり得ます。

ではクラウドは安全か?──「任せれば安心」ではない

クラウドは基盤の堅牢性という強みが強調される一方で、利用者側に残る責任もあります。

  • 共有責任
    設定・権限・監視・バックアップ・復旧は利用者側の責任が残ります。IaaSでのOSパッチ管理は利用者側の責任となります。
  • 管理者アカウント
    特権IDは多要素認証を必須とし、個人ID運用と最小権限、監査ログとセットで統制する必要があります。一般の利用者IDも基本的には多要素認証を前提にします。
  • 医療系サービスの運用
    SaaS/PaaSでも「止められない」という論理に引きずられ、十分なメンテナンスが行われない可能性があります。更新方針や計画停止の扱いは事前に確認が必要です。
  • 設定ミス
    誤設定が外部公開につながる可能性があり特に注意が必要です。
  • 依存リスク
    障害・仕様変更・価格改定・ロックインは前提として備える必要があります。

結論としては、「クラウドだから安心」ではなく、責任分界と運用の現実を確認することが重要です。

補足:クラウド=コストダウンも「比較条件次第」

「クラウドでコスト削減」という説明は魅力的ですが、比較条件(運用費・監視・回線・保管など)が揃っていないこともあります。

セキュリティと同様、クラウドは「自動的に得」ではなく、要件と運用設計に依存します。

どう判断する?──ベンダーと「必要条件」を考える

医療機関だけで決めきれない以上、ベンダーと合意すべきポイントを先に固めます。

  • 可用性(RTO/RPO)と代替手順:
    急性期病院では特に停止の影響が大きく、クラウドサービスの障害だけでなく回線断・院内ネットワーク・DNS不具合で「到達できない」事態も検討する必要があります。RTO/RPOと、停止時の運用(暫定記録・参照の最低限・復旧後の反映)をセットで考慮します。
  • レスポンス要件:
    回線速度だけでなく遅延・パケットロス・経路・アプリ性能等が影響します。主要操作の応答時間をピーク時間帯も含めて実測し、許容できるかを判断材料にします。
  • 責任分界:
    基盤/OS・DB/アプリ/ネットワーク/監視・ログ/バックアップの担当を明文化します。
  • バックアップの復元性:
    世代管理・復元テストまで含めて、実際に戻せる前提になっているかを確認します。

これらは、クラウド導入に限らず、オンプレミスの更改でも同様です。

まとめ

  • 「オンプレミスは安全」「クラウドは機能豊富で強固」という先入観にとらわれず、責任分界と運用まで含めて判断することが重要です。
  • 急性期では特に、可用性(RTO/RPO)とレスポンスを要件化し、運用まで含めて合意することが重要です。

守るべきは「業務とデータ」です。医療現場では、業務効率を維持できるレスポンスを確保しながら、診療継続に必要な可用性とセキュリティも満たす必要があります。頻繁には止められない前提の下で、アップデート(更新)を適宜実施できる運用設計に目を向けることが重要になります。

参考

厚生労働省:「医療機関向けセキュリティ教育支援ポータルサイト」

E-Learning 令和7年度コンテンツ

  • 経営者・管理層向け
    • 経営者はどこまでセキュリティを理解するべきか
  • システム・セキュリティ管理者向け
    • クラウドサービスの活用とセキュリティの考え方
    • 岡山県精神科医療センター ランサムウェア事案調査報告書 読み解き  等